Документация и инструкции

To Kaiten
Документация и инструкцииАдминистрированиеБезопасность и доступыНастройка SSO

Настройка SSO «OpenID Connect» Windows Server 2019 Active Directory

Kaiten интегрирован с Microsoft Active Directory:

  1. Синхронизация Пользователей и Групп: Kaiten позволяет синхронизировать пользователей и группы с директорией Active Directory. Это означает, что при добавлении или удалении пользователя в Active Directory соответствующие изменения автоматически происходят в Kaiten. Также можно настроить синхронизацию групп, чтобы при изменении членства в группах в Active Directory, это отражалось и в Kaiten.

  2. Настройка Единой Аутентификации (SSO): Kaiten поддерживает настройку Single Sign-On через OpenID Connect с использованием Windows Server 2019 Active Directory. Это позволяет пользователям входить в Kaiten, используя их учетные данные Active Directory, что упрощает процесс входа в систему и повышает безопасность.

    Возможности

    • Пользователь может войти в систему Kaiten, используя SSO Microsoft Active Diirectory.

    • При создании пользователя в Microsoft Active Directory, пользователь создается в Kaiten.

    • При удалении записи пользователя в Microsoft Active Directory, пользователь блокируется в Kaiten.

    • При изменении прав доступа внутри Microsoft Active Directory у пользователя меняются права доступа и к разделам Kaiten, через синхронизацию по группам пользователей.

Важно: с 1 января 2025 года Госдума РФ запретила использование иностранных SSO-сервисов. Поэтому для пользователей, которые находятся на территории РФ, будут доступны только способы аутентификации, которые соответствуют законодательным требованиям (изложены в ст. 16 149-ФЗ). А именно:

- Стандартные способы аутентификации по паролю или PIN-коду;

- Дополнительные способы аутентификации, например, LDAP или OIDC, настроенные через Identity Provider, владельцем которого является гражданин РФ или российское юридическое лицо, также располагающемся на сервере с российским IP-адресом.

Как настроить

Для настройки зайдите в Server Manager

  1. Кликните tools и в выпавшем списке выберите «AD FS Management».

  1. В открывшемся окне выберите папку «Application Groups» и в правом меню кликните на «Add Application Group»

  1. Введите произвольное имя и выберите «Server application accessing a web API» и нажмите next.

4. Скопируйте Client Identifier, введите Redirect Url https://[ваш домен в кайтен]/auth/oidc/callback и нажмите Add, вставьте Client Identifier в Кайтен в поле clientID. Нажмите next.

  1. Выберите «Generate a shared secret», скопируйте его и введите в Кайтен в поле clientSecret. Нажмите next.

  1. Вставьте Client Identifier из 4-го шага и нажмите Add. Нажмите Next.

  1. Выберите Permit everyone и нажмите Next.

  1. Убедитесь что в списке разрешение выбрана опции openid, allatclaims, email, profile и нажмите Next.

  1. В следующих 2-ух шагах нажмите Next и Close.

  2. Выберите созданную группу и нажмите properties.

  1. В разделе Web API выберите созданную группу и нажмите Edit.

  1. Выберите подраздел «Issuance Transform Rules» и нажмите кнопку Add Rule

  1. В селекте выберите пункт «Send LDAP Attributes as Claims» и нажмите Next.

  1. Введите произвольное название. В селекте Attribute store выберите Active Directory. В левом селекте выберите «E-Mail-Addresses» и в правом «E-Mail Address». В левом селекте выберите «Display-Name» и в правом «Name». Нажмите Finish.

  1. Нажмите Apply.

  2. Откройте папку Service и убедитесь, что маршрут /adfs/.well-known/openid-configuration доступен.

  1. Введите данный маршрут в Кайтен в поле identityMetadata.

  1. (Опциональный пункт) В поле domains введите домены пользователей, для которых будет использован данный метод аутентификации (Допустим у пользователей следующие емейлы - test@test1.ru, test@test2.ru - тогда поле Domains должно содержать test1.ru,test2.ru)

Обратите внимание: для email с указанными доменами стандартные способы аутентификации в Kaiten (по паролю и PIN-коду) будут недоступны.

  1. (Опциональный пункт) Для входа из-под нужного пользователя перейдите по ссылке /adfs/ls/idpinitiatedsignon и авторизуйтесь если нужно. В случае если данный маршрут недоступен, в PowerShell можно ввести комманду Set-AdfsProperties -EnableIdpInitiatedSignonPage $True

  1. (Опциональный пункт) Для добавления пользователя кликните Tools и выберите «Active Directory Users and Computers». Нажмите правой кнопкой мыши на папку Users и выберите New/User. Заполните необходимые поля и сохраните. (Обратите внимание - у пользователя должно быть заполнено поле email)

  1. В Кайтен нажмите Сохранить. После того как опции нового варианта авторизации сохранятся, нажмите «Протестировать». Вас перекинет на авторизацию в adfs. После успешной авторизации вас перекинет обратно в Кайтен и вы увидите сообщение «Success».